Azure Active DirectoryをIDプロバイダーにする

Azure Active Directoryに認証を委任するには、OktaでIDプロバイダー（IdP）として構成する必要があります。

開始する前に

Azure Active DirectoryでOktaエンタープライズ・アプリを作成するを完了し、以下をメモします。
- ログインURL
- Azure AD識別子
- ダウンロードした証明書（Base64）

この手順を開始する

この手順には次のタスクが含まれます：

Azure ADIDプロバイダーを追加する
Microsoft AzureポータルでOktaアプリを更新する

Azure ADIDプロバイダーを追加する

管理コンソールで、[セキュリティー] > に移動します ［Identity Providers（IDプロバイダー）］に移動します。
［Add Identity Provider（IDプロバイダーを追加）］をクリックして、［Add SAML 2.0 IdP（SAML 2.0 IdPを追加）］を選択します。
名前フィールドにIDプロバイダーの AADまたは任意の名前を入力します。

AUTHENTICATION SETTINGSエリアの以下のフィールドに入力します。

フィールド	値
IdPユーザー名	idpuser.emailと入力します。
フィルター	（任意） [定義された正規表現パターンに一致するユーザー名のみを許可]チェック・ボックスを選択し、正規表現パターンを入力します。このパターンによりIdPユーザー名がフィルタリングされ、IdPが意図しないユーザーや特権ユーザーを認証するのを防ぐことができます。
照合対象	ドロップダウン・リストからOktaユーザー属性を選択します。例： Oktaユーザー名。このOktaユーザー属性は、既存のユーザーを検索するためにIdPユーザー名と照合されます。
Account Link Policy	自動を選択すると、受信IdPユーザーがOktaの既存のユーザーにリンクされます。ユーザーを手動でリンクする場合、またはユーザーをリンクしない場合は、無効を選択します。
Auto-Link Restrictions	（任意）指定した特定のグループに自動アカウント・リンクを制限できます。ドロップダウン・リストから特定のグループを選択し、グループ名を入力します。一致するユーザーが指定されたグループのいずれかに属している場合にのみ、IdPユーザーが自動的にリンクされます。
一致が見つからない場合	（任意）新規ユーザー（JIT）を作成を選択して、一致しないユーザー用に新しいアカウントを作成します。

JIT設定エリアの以下のフィールドに入力します。

フィールド	値
プロファイルソース	既存ユーザーの属性を更新チェック・ボックスを選択します。
Reactivation Settings	（任意） Oktaのチェックボックスで[Oktaで非アクティブ化されたユーザーを再アクティブ化する]と[一時停止されているユーザーの一時停止を解除する]を選択します。
Group Assignments	（任意）プロビジョニング中のグループ割り当ての動作を定義するオプションを選択します。ユーザーを特定のグループに割り当てたり、SAML属性名とグループ・フィルターに基づいて欠落しているグループに追加したり、グループの完全同期を実行したりできます。

フィールド

値

プロファイルソース

既存ユーザーの属性を更新チェック・ボックスを選択します。

Reactivation Settings

（任意）

Oktaのチェックボックスで[Oktaで非アクティブ化されたユーザーを再アクティブ化する]と[一時停止されているユーザーの一時停止を解除する]を選択します。

Group Assignments

（任意）

プロビジョニング中のグループ割り当ての動作を定義するオプションを選択します。

ユーザーを特定のグループに割り当てたり、SAML属性名とグループ・フィルターに基づいて欠落しているグループに追加したり、グループの完全同期を実行したりできます。

SAMLプロトコル設定エリアの以下のフィールドに入力します。

フィールド	値
IdP発行者URI	以前に記録したAzure AD [ Azure AD識別子フィールドの値を入力します。
IdPシングルサインオンURL	前に記録したAzure AD ログインURL フィールドの値を入力します。
IdP署名証明書	[ファイルを参照]をクリックし、以前にダウンロードしたIDプロバイダーのPEMまたはDERキー証明書の場所を参照して、 [開く]をクリックします。

［Add Identity Provider（IDプロバイダーを追加）］をクリックします。
IDプロバイダーページで、AAD IDプロバイダーの展開（）アイコンをクリックし、次のフィールドの値を記録します。
- Assertion Consumer Service URL
- オーディエンスURI

Microsoft AzureポータルでOktaアプリを更新する

Microsoft Azureポータルにサインインし、左上のポータル・メニュー・アイコンをクリックして、 Azure Active Directoryを選択します。
左側のメニューで［ Enterprise Applications（エンタープライズ・アプリケーション）］をクリックし、アプリケーションのリストで[Okta]を選択します。
左メニューの シングル・サインオンをクリックし、 SAMLをクリックします。

基本SAML構成の編集をクリックし、以下のフィールドに入力します。

フィールド	値
識別子（エンティティID）	手順8で記録したオーディエンスURIの値を入力します。
Assertion Consumer Service URL	手順8で記録したAssertion Consumer Service URLの値を入力します。

保存と 閉じるをクリックします。

次の手順

Azure Active Directory属性をOkta属性にマッピングする